
×
smbdoor.jpg
En sikkerheds-forsker har skabt et proof-of-concept bagdør inspireret af NSA malware, der lækket på nettet i foråret 2017.
Dette nye malware er opkaldt SMBdoor og er udført af RiskSence sikkerhedsekspert Sean Dillon (@zerosum0x0).
Dillon designet SMBdoor som en Windows kernel driver, der når det er installeret på en PC vil misbruge udokumenterede Api ‘ er i srvnet.sys processen med at registrere sig som en gyldig handler for SMB (Server Message Block) forbindelser.
Malware er meget snigende, da det ikke binde sig til nogen lokale stikkontakter, åbne porte eller kroge i eksisterende funktioner, og derved undgå at udløse alarmer for nogle antivirus systemer.
Dens design var inspireret af lignende adfærd, at Dillon har set i DoublePulsar og DarkPulsar, to malware implantater udviklet af NSA, der blev lækket på nettet af en forbryderisk hacking gruppe kendt som Skyggen Mæglere.
Ikke weaponized
Men nogle brugere kan spørge sig selv-hvorfor har en sikkerhedsekspert skabe malware, i første omgang?
I et interview med ZDNet i dag, Dillon fortalte os, at de SMBdoor kode er ikke weaponized, og at it-kriminelle ikke kan downloade den fra de GitHub og inficere brugerne på samme måde, som de kan downloade og installere alle versioner af NSA ‘ s DoublePulsar ud af boksen.
“[SMBdoor] kommer med praktiske begrænsninger, der gør det for det meste en akademisk fordybelse, men jeg tænkte det kunne være interessant at dele, og er muligvis noget [endpoint-detection og svar, også kendt som antivirus] produkter bør overvåge,” Dillon sagde.
“Der er begrænsninger i proof-of-concept, at en angriber ville være nødt til at overvinde,” tilføjede han. “Vigtigst af alt, moderne Windows forsøg på at blokere for unsigned kerne kode.
“Der er også sekundære komplikationer bagdør ville have til at redegøre for, under processen for ilægning af sekundær nyttelast, for at bruge sidedelt hukommelse og ikke dødvande systemet,” Dillon sagde.
“Begge disse spørgsmål har flere kendte omfartsveje, men de kan blive endnu mere vanskelig, når moderne afhjælpninger som Hyper-V-Kode Integritet er aktiveret.”
Dillon sagde, at medmindre en hacker værdier stealth mere end den nødvendige indsats for at ændre SMBdoor, så er denne eksperimenterende malware er ikke særlig nyttigt for nogen.
Snigende af design
Dillon ‘ s arbejde på SMBdoor har fanget øjet af mange sikkerhedseksperter på grund af dens snigende design og brugen af udokumenterede API funktioner.
Det ser godt ud, open source implantat piggy backing på SMB (så ingen nye havne åbnet i) a la Doublepulsar. https://t.co/yaxWBNLu4D
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) April 14, 2019
Det er temmelig interessant: https://t.co/0jcboffksK
— Joe Slowik (@jfslowik) April 24, 2019
“Som DOUBLEPULSAR, dette implantat gemmer sig i en esoterisk område af systemet,” Dillon fortalte ZDNet.
“Lytte til netværkstrafik over et allerede bundet port, uden at røre nogen stikkontakter, er ikke godt etableret i aktuelle metoder og er en del af et ekspanderende forskningsområde.
Relaterede Emner:
Windows
Sikkerhed-TV
Data Management
CXO
Datacentre